OpenVPN - Instalação e configuração

a.mendesaguiar

Este artigo demonstra como podemos fechar uma VPN Site-to-Site entre 2 redes. Todas as configurações utilizadas foram feitas em ambiente de teste e produção.

[ Hits: 117.396 ]

Por: Adriano em 20/03/2009 | Blog: http://www.mendes-it.com.br

2 0
Denuncie   Favoritos   Indicar   Impressora

Criando as rotas e liberando portas na matriz e filial



Criando as rotas

Para adicionar a rota com destino a rede da filial, execute de dentro do servidor da matriz o seguinte comando:

# ip route add 10.2.40.0/24 dev tun0 via 10.2.60.2

Para adicionar a rota com destino a rede da matriz, execute de dentro do servidor da filial o seguinte comando:

# ip route add 10.2.30.0/24 dev tun0 via 10.2.60.1

Bom, agora é só testar. Tente pingar de dentro de uma máquina da LAN da matriz com destino a LAN da filial. Vale lembrar também que temos que colocar toda a sequência de comandos acima no rc.local de sua distro, para que a mesma carregue as configurações ao iniciar o sistema operacional.

Librando porta 5000 e 1194 UDP matriz

Na sua regra de iptables no servidor matriz você de adicionar estas regras para permitir o tráfego UDP na porta 5000:

Obs.: Você deve autorizar apenas o IP do servidor filial.

#########################################

FILIAL=200.201.202.203

###Liberando porta 5000

##########################################################
############### Liberando acesso OPENVPN ####################
###########################################################
echo ""
echo "$COLOR[44;37m Liberando Acesso OPENVPN$COLOR[0m"
echo ""

iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT

iptables -A FORWARD -p udp -d $FILIAL --dport 5000 -j ACCEPT
iptables -A FORWARD -p udp -s $FILIAL --dport 5000 -j ACCEPT
iptables -A FORWARD -p udp -d $FILIAL --sport 5000 -j ACCEPT
iptables -A FORWARD -p udp -s $FILIAL --sport 5000 -j ACCEPT

iptables -A INPUT -p udp -d $FILIAL --dport 5000 -j ACCEPT
iptables -A INPUT -p udp -s $FILIAL --dport 5000 -j ACCEPT
iptables -A INPUT -p udp -d $FILIAL --sport 5000 -j ACCEPT
iptables -A INPUT -p udp -s $FILIAL --sport 5000 -j ACCEPT

iptables -A OUTPUT -p udp -d $FILIAL --dport 5000 -j ACCEPT
iptables -A OUTPUT -p udp -s $FILIAL --dport 5000 -j ACCEPT
iptables -A OUTPUT -p udp -d $FILIAL --sport 5000 -j ACCEPT
iptables -A OUTPUT -p udp -s $FILIAL --sport 5000 -j ACCEPT

iptables -A FORWARD -p udp -d $FILIAL --dport 1194 -j ACCEPT
iptables -A FORWARD -p udp -s $FILIAL --dport 1194 -j ACCEPT
iptables -A FORWARD -p udp -d $FILIAL --sport 1194 -j ACCEPT
iptables -A FORWARD -p udp -s $FILIAL --sport 1194 -j ACCEPT

iptables -A INPUT -p udp -d $FILIAL --dport 1194 -j ACCEPT
iptables -A INPUT -p udp -s $FILIAL --dport 1194 -j ACCEPT
iptables -A INPUT -p udp -d $FILIAL --sport 1194 -j ACCEPT
iptables -A INPUT -p udp -s $FILIAL --sport 1194 -j ACCEPT

iptables -A OUTPUT -p udp -d $FILIAL --dport 1194 -j ACCEPT
iptables -A OUTPUT -p udp -s $FILIAL --dport 1194 -j ACCEPT
iptables -A OUTPUT -p udp -d $FILIAL --sport 1194 -j ACCEPT
iptables -A OUTPUT -p udp -s $FILIAL --sport 1194 -j ACCEPT

Liberando porta 5000 e 1194 UDP filial

Está regra vai no servidor filial, liberando apenas o IP do servidor matriz:

MATRIZ=200.201.202.200

###Liberando porta 5000 e 1194 UDP

##########################################################
############### Liberando acesso OPENVPN ####################
###########################################################
echo ""
echo "$COLOR[44;37m Liberando Acesso OPENVPN$COLOR[0m"
echo ""

iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT

iptables -A FORWARD -p udp -d $MATRIZ --dport 5000 -j ACCEPT
iptables -A FORWARD -p udp -s $MATRIZ --dport 5000 -j ACCEPT
iptables -A FORWARD -p udp -d $MATRIZ --sport 5000 -j ACCEPT
iptables -A FORWARD -p udp -s $MATRIZ --sport 5000 -j ACCEPT

iptables -A INPUT -p udp -d $MATRIZ --dport 5000 -j ACCEPT
iptables -A INPUT -p udp -s $MATRIZ --dport 5000 -j ACCEPT
iptables -A INPUT -p udp -d $MATRIZ --sport 5000 -j ACCEPT
iptables -A INPUT -p udp -s $MATRIZ --sport 5000 -j ACCEPT

iptables -A OUTPUT -p udp -d $MATRIZ --dport 5000 -j ACCEPT
iptables -A OUTPUT -p udp -s $MATRIZ --dport 5000 -j ACCEPT
iptables -A OUTPUT -p udp -d $MATRIZ --sport 5000 -j ACCEPT
iptables -A OUTPUT -p udp -s $MATRIZ --sport 5000 -j ACCEPT

iptables -A FORWARD -p udp -d $MATRIZ --dport 1194 -j ACCEPT
iptables -A FORWARD -p udp -s $MATRIZ --dport 1194 -j ACCEPT
iptables -A FORWARD -p udp -d $MATRIZ --sport 1194 -j ACCEPT
iptables -A FORWARD -p udp -s $MATRIZ --sport 1194 -j ACCEPT

iptables -A INPUT -p udp -d $MATRIZ --dport 1194 -j ACCEPT
iptables -A INPUT -p udp -s $MATRIZ --dport 1194 -j ACCEPT
iptables -A INPUT -p udp -d $MATRIZ --sport 1194 -j ACCEPT
iptables -A INPUT -p udp -s $MATRIZ --sport 1194 -j ACCEPT

iptables -A OUTPUT -p udp -d $MATRIZ --dport 1194 -j ACCEPT
iptables -A OUTPUT -p udp -s $MATRIZ --dport 1194 -j ACCEPT
iptables -A OUTPUT -p udp -d $MATRIZ --sport 1194 -j ACCEPT
iptables -A OUTPUT -p udp -s $MATRIZ --sport 1194 -j ACCEPT

Página anterior     Próxima página

Páginas do artigo
   1. Download e instalação
   2. Configurando a matriz
   3. Iniciando o serviço
   4. Configurando a filial
   5. Iniciando o serviço - filial
   6. Criando as rotas e liberando portas na matriz e filial
   7. Verificando o LOG
Outros artigos deste autor

Squid como proxy transparente: Instalando e configurando

Squid autenticado - Instalar e configurar

DNS Cache no Bind9

Leitura recomendada

Como construir um firewall de baixo custo para sua empresa (parte 3)

Segurança com iptables

Revisão atualizada de instalação do Iptables com Layer7

IPset - Bloqueie milhares de IPs com o iptables

Dominando o iptables (parte 1)

  
Comentários
[1] Comentário enviado por POTIGUAR em 21/03/2009 - 21:22h

Muito bom!

Utilizo o openVPN em alguns clientes p/ interligar matriz-filial e é muito show! gostei bastante da sua dica do roteamento automático, eu ja tinha notado que quando reiniciava o openvpn ele perdia as rotas e depois eu executava um script p/ refazer a rota novamente! com sua dica não vou mais precisar!

Parabéns!

[2] Comentário enviado por removido em 24/03/2009 - 20:30h

Muito Show - D+

Abraco!

[3] Comentário enviado por gostt em 03/09/2009 - 11:07h

Muito bom, prabens!



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Automatizando digitação de códigos 2FA no browser

Resolver problemas de Internet

Como compartilhar a tela do Ubuntu com uma Smart TV (LG, Samsung, etc.)

Descritores de Arquivos e Swappiness

tux-gpt - Assistente de IA para o Terminal

Dicas

Como converter imagens PNG/JPEG para SVG em linha de comando

Fez porcaria no teu repositório Git? Aprenda a restaurar uma versão anterior do seu código!

Restaurando Fontes de Download do Hydra no Linux

Atualizando "na marra" o YT-DLP quando começa a dar erro de downloads

Como instalar o WPS com interface e corretor ortográfico em PT-BR no Arch Linux

Tópicos

[AJUDA] Problemas ao atualizar BIOS da Gigabyte B550M K rev. 1.1 — “RO... (5)

Impossível ativar audio 5.1 (1)

VPN IPSec (2)

Inicializaçao lenta (alguns processos rodando) Debian 11 Bullseye [RES... (2)

Erro na atualização dos pacotes (6)

Top 10 do mês

Scripts

[Shell Script] Instalador de Hotspot Linux Debian (SysV)

[Shell Script] Script para verificar o Status da bateria

[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

[C/C++] IPHunter - caçador de ip

[Shell Script] Script de Backup do Perfil dos Usuários do Sistema em Batch do Windows

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: